Het Raadsvoorzitterschap en het Europees Parlement zijn tot een voorlopig akkoord gekomen over de voorgestelde verordening cyberweerbaarheid. Deze verordening bevat voorschriften inzake cyberbeveiliging voor producten met digitale elementen, om zeker te zijn dat producten zoals slimme beveiligingscamera's en koelkasten, tv's en speelgoed, veilig zijn.
“Met dit akkoord zetten we een reuzenstap naar een veilige digitale eengemaakte markt in Europa. Verbonden apparaten die in de EU worden verkocht, moeten aan minimale cyberbeveiligingsnormen voldoen om bedrijven en consumenten naar behoren te beschermen tegen cyberdreigingen. Dat is precies wat de verordening cyberweerbaarheid zal doen.” - José Luis Escrivá, minister van Digitale Transformatie van Spanje
De tekst bevat Europese cyberbeveiligingsvoorschriften voor het ontwerp, de ontwikkeling, de productie en het op de markt aanbieden van hardware en software. Een Europese wet moet ervoor zorgen dat er niet in elke EU-lidstaat andere regels gelden.
De verordening zal gelden voor alle apparaten die direct of indirect verbonden zijn met een ander apparaat of een netwerk. Een uitzondering zijn producten waarvoor al cyberbeveiligingsvereisten zijn vastgelegd in andere EU-wetten, zoals medische hulpmiddelen, producten voor de luchtvaart en auto's.
De verordening moet de lacunes in de wetgeving dichten, de samenhang tussen wetten verduidelijken en de cyberbeveiligingswetgeving coherenter maken. Producten met digitale elementen, zoals producten die tot het internet der dingen (Internet of Things) behoren, moeten in de gehele toeleveringsketen en gedurende hun hele levenscyclus veilig kunnen worden gebruikt.
Tot slot creëert de verordening meer bewustzijn rond cyberveiligheid zodat consumenten een geïnformeerde keuze kunnen maken bij het kopen en gebruiken van deze hard- of softwareproducten. Het moet voor hen gemakkelijker worden om te zien welke producten goede bescherming bieden op dit vlak.
Het voorlopig akkoord komt met name op de volgende punten overeen met de algemene strekking van het Commissievoorstel:
regels om de verantwoordelijkheid voor de naleving van de verordening meer bij de fabrikanten te leggen. Zij moeten aan bepaalde verplichtingen voldoen, zoals een risicoanalyse uitvoeren, een conformiteitsverklaring opstellen en samenwerken met de bevoegde instanties
essentiële eisen voor fabrikanten en verplichtingen voor marktdeelnemers, zoals importeurs of distributeurs, wat betreft de respons op kwetsbaarheden
maatregelen voor meer transparantie over de beveiliging van hardware- en softwareproducten voor consumenten en zakelijke gebruikers
markttoezicht om te controleren of de regels worden nageleefd
De Raad en het Parlement zijn overeengekomen bepaalde aspecten van het Commissievoorstel te wijzigen, zoals:
het toepassingsgebied van de voorgestelde wetgeving, met een simpelere manier om te bepalen of digitale producten onder de nieuwe verordening vallen
de vaststelling van de verwachte levensduur van producten door de fabrikant. Het uitgangspunt blijft dat de fabrikant gedurende de hele verwachte levensduur van het digitale product ondersteuning biedt en deze ondersteuningstermijn moet sowieso minstens 5 jaar bedragen, behalve voor producten met een kortere verwachte gebruiksduur
de meldplicht bij actief uitgebuite kwetsbaarheden of incidenten. Dit moet in eerste instantie bij de bevoegde nationale instanties gebeuren, maar het EU-agentschap voor cyberbeveiliging (Enisa) krijgt ook een grotere rol
de nieuwe regels gaan 3 jaar na de inwerkingtreding van de wet in, zodat fabrikanten voldoende tijd hebben om zich aan te passen
extra steunmaatregelen voor kleine en micro-ondernemingen, zoals specifieke bewustmakings- en opleidingsactiviteiten, naast ondersteuning voor test- en conformiteitsbeoordelingsprocedures
De komende weken zal er op technisch niveau verder worden overlegd over de nieuwe verordening om de puntjes op de i te zetten. Daarna zal het Spaanse voorzitterschap de compromistekst laten goedkeuren door de vertegenwoordigers van de lidstaten in het Coreper.
Het volledige akkoord moet vervolgens door Raad en Parlement worden bevestigd en door de juristen-linguïsten worden bijgewerkt voordat beide instellingen het formeel kunnen aannemen.
In zijn conclusies van 2 december 2020 over de cyberbeveiliging van verbonden apparaten benadrukte de Raad dat moet worden beoordeeld of er voor de lange termijn horizontale wetgeving nodig is om alle relevante aspecten van de cyberbeveiliging van verbonden apparaten aan te pakken, zoals beschikbaarheid, integriteit en vertrouwelijkheid, ook door de voorwaarden voor marktintroductie nader te bepalen.
Commissievoorzitter Von der Leyen sprak voor het eerst over gemeenschappelijke cyberbeveiligingsvereisten in september 2021 in haar toespraak over de Staat van de Unie. Vervolgens kwam het idee van een verordening cyberweerbaarheid terug in de conclusies van de Raad van 23 mei 2022 over de ontwikkeling van de cyberstrategie van de Europese Unie, waarin de Commissie werd verzocht vóór het einde van 2022 een voorstel hiervoor in te dienen.
Op 15 september 2022 diende de Commissie een voorstel in voor een verordening cyberweerbaarheid, ter aanvulling op het reeds bestaande EU-wetgevingskader inzake cyberbeveiliging. Dat kader bestaat uit een richtlijn over de beveiliging van netwerk- en informatiesystemen (NIS-richtlijn), een richtlijn met maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging (NIS 2-richtlijn) en een cyberbeveiligingsverordening.
Verordening cyberweerbaarheid, onderhandelingsmandaat van de Raad